[블록미디어 정아인 기자] “이번에 털린 건 렛저 서비스였으나 앞으로 다른 서비스나 라이브러리에서도 비슷한 일이 발생할 수 있다.”
파스칼 고티에(Pascal Gauthier) 렛저 CEO는 렛저 해킹 사태 사과문에서 이처럼 말했다. 물타기인가, 그는 왜 다른 지갑 걱정을 했을까?
지난 14일(현지 시간) 렛저는 웹사이트를 지갑에 연결하는 자바스크립트 라이브러리인 렛저 커넥트 키트를 통한 코인 탈취(익스플로잇) 사건을 당했다. 피해액은 약 60만 달러(7억 원)로 추정된다.
규모는 크지 않지만 충격은 컸다. 하드웨어 월렛의 대표 제작사 렛저(Ledger)가 익스플로잇을 당하자 암호화폐 생태계는 큰 충격에 빠졌다. 하드웨어 월렛은 ‘탈중앙화’에서 싹 튼 블록체인 금융 생태계 기반이기 때문이다.
가장 안전하다고 알려진 하드웨어 월렛의 해킹 전말과 향후 대처 방안을 정리했다.
# 렛저는 하드웨어 월렛의 대표주자
FTX 사태 이후 CEX(중앙화 거래소)에서 자산 보관이 안전하지 않다는 사실이 증명됐다. 이후 ‘내 코인은 내 지갑에’라는 셀프 커스터디가 화두에 올랐다.
셀프 커스터디의 근간은 하드웨어 월렛(콜드 월렛)이다. 인터넷에 연결된 핫 월렛의 경우, 암호화 키인 시드 구문이 해킹당할 수 있다.
하드웨어 월렛은 기계를 통해 서명 과정을 추가했다. 와이파이 연결 없이 내부에서 다시 서명을 만든다.
하드웨어 월렛 대표 제작사로 렛저(Ledger), 트레저(Trezor), 세이프팔(Safepal), 그라인드(Gridplus) 등이 손에 꼽힌다.
# ‘렛저 커넥트 키트’가 문제
이번 해킹은 ‘렛저 커넥트 키트’에서 발생했다.
렛저 커넥트 키트는 렛저 기계를 타사 디앱(지갑을 연결하는 웹 사이트)에 연결할 수 있는 버튼을 구현하는 자바스크립트 라이브러리다.
해커는 렛저의 NPM-JS(앱 간 공유되는 자바스크립트용 코드 패키지 관리자) 계정을 탈취해 악성 파일을 업로드했다.
렛저에 따르면 피싱 공격자는 렛저에서 퇴사한 직원을 목표물로 삼았다. 해당 직원을 이용해 악성 버전의 렛저 커넥트 키트가 배포됐다.
캣제랩스 에릭 유(Erick You) CTO는 “이전 담당자가 전 직원이 퇴사한 후에도 @ledgerhq/connect-kit에 대한 게시 권한을 유지했다. 전 직원 계정을 통해 스피어 피싱 공격이 성공할 수 있을 정도로 게시 계정과 권한 관리가 취약했다”라고 설명했다.
렛저의 고티에 CEO 해명은 전혀 다르다. 고티에는 “Ledger는 한 사람이 여러 당사자의 검토 없이 코드를 배포할 수 없다. 우리는 대부분의 개발 과정에서 강력한 액세스 제어, 내부 검토, 코드 다중 서명을 시행 중”이라며, “이는 내부 시스템의 99%에 적용된다. 퇴사하는 직원은 모든 렛저 시스템에서 액세스 권한이 취소된다”라고 주장했다.
이번 해킹은 스시스왑, 리도(Lido)부터 메타마스크, 코인베이스 등 렛저 커넥트 키트를 사용하는 모든 프로토콜의 프론트 엔드에 영향을 미쳤다.
렛저 공식 입장문에 따르면 자금 유출은 2시간 내로 제한됐다. 렛저 하드웨어(본체)나 렛저와 기기를 연결하는 렛저 라이브 스토어와는 관계가 없다.
NPM 해킹은 개발업계에서 최근 자주 발생하는 보안 문제다. 사용자들과 밀접한 코드를 올리는 특정인의 계정을 해킹한다.
# 신음 앓는 렛저…남 탓하는 CEO
렛저는 지난 5월에도 신뢰에 큰 타격을 입었다.
시드 구문을 멀티 시그 방식으로 보관하는 ‘렛저 리커버’ 서비스를 제공해 반감을 일으킨 것. 렛저는 리커버 서비스를 포함, 렛저 OS의 대부분을 오픈 소스화 하겠다고 밝히며 논란을 일단락시켰다.
이번 사태도 렛저가 제대로 대처하지 못했다는 비판이 나온다. 진실된 사과와 해결보다는 사건을 종료시키는데 급급하다는 것.
렛저의 고티에 CEO는 “엄격한 소프트웨어 보안을 구현하는 빌드 파이프라인을 NPM 배포 채널에 연결하여 더 강력한 보안 제어를 구현할 예정”이라고 밝혔다.
그는 “이번 사태는 사용자가 브라우저 기반 서명에 참여하는 디앱에 대한 보안 기준을 지속적으로 높여야 한다는 점을 상기시킨다”라며, “이번에 익스플로잇된 것은 Ledger의 서비스였다. 앞으로 다른 서비스나 라이브러리에서도 이런 일이 발생할 수 있다”라고 주장했다.
렛저 레딧 커뮤니티는 “렛저 CEO가 잘못을 인정하고 사과하는 방법을 모르고 있다”, “내 자산을 렛저에서 트레저로 옮길 예정”이라는 비판을 쏟아내고 있다.
한편, 렛저는 지난 2021년 3.8억 달러 규모의 시리스 C 투자를 유치하고 올해 3월 1억 900만 달러를 추가 조달했다. 렛저는 본사를 프랑스 파리에 두고 있다.
지난 10월, 거시 경제 환경이 악화되고 있다는 이유로 렛저 전체 직원의 12%가 정리 해고됐다.
[렛저 해킹 사건 총정리 (2)] 대처법, “브라우저 캐시를 지워라” …추락하는 셀프 커스터디로 이어집니다.
같이 보면 좋은 기사
렛저 CTO, “사용자 키 추출은 항상 가능했다” 삭제 이유 해명 –다른 지갑 업체, 틈새 노린 할인 마케팅